网络罪犯为何盯上加盟商随着大公司因数据泄露而成为头条新闻,小型特许经营商可能会觉得自己不会成为黑客的目标。这与事实相去甚远。
通过菲尔-史密斯•
《创业家》作者的观点纯属个人观点。狗万官方
正如我们从过去一年的一系列数据泄露事件中看到的那样,任何企业——无论规模大小——都可能成为数据泄露的受害者。然而,许多中小企业(smb)仍然有“这不会发生在我身上”的心态。他们认为犯罪分子的目标是“大人物”,即每天存储、处理和传输数千张支付卡的企业。
这种错误的假设实际上使中小企业更容易受到攻击,因为它阻碍了他们将安全作为首要任务。
许多特许经营商都属于这一范畴,不幸的是,他们也面临着自己的一系列安全挑战。在保护信息安全方面,加盟商有不同的选择:他们要么实施与公司办公室相同的安全策略,要么与他们连接的协会(即杂货商协会)实施相同的安全策略,要么使用他们自己的安全策略。当涉及到保护他们的宝贵信息时,所有这些选择都可能给加盟商带来挑战。
以下是每种选择的缺点:
采用与公司总部相同的策略
为了填补这一空白,加盟商采用了与公司相同的安全策略。然而,其中一些组织可能有自己的安全弱点,然后传递给加盟商。如果特许经营商使用的网络应用程序存在未修补的安全漏洞,而他们的特许经营商也使用同样的应用程序,那么他们都在向犯罪分子敞开大门。
相关:为什么这两个最好的朋友在28岁时一起开了一家特许经营店
走内部路线
有些加盟商因为资源不足,选择自己管理安全。通过这种方式,他们可能会在不知不觉中犯错误,或者由于其他创收优先事项而忽略了安全性。
例如,当我们的专家为加盟商进行风险评估时,我们经常看到POS系统被用作另一台计算机。收银员将使用相同的系统来接受支付卡和浏览网页。这种设置大大增加了企业被入侵的风险,因为犯罪分子可以向员工发送包含恶意链接的定向电子邮件。一旦员工点击链接,恶意软件就会被下载到机器上,因为这也是POS系统,犯罪分子可以访问所有客户的支付卡信息。
第三方公司
许多特许经营商将他们的销售点(POS)系统外包给第三方服务提供商。然而,加盟商不知道的是,许多第三方服务提供商并没有坚持最佳安全实践。
例如,他们使用相同的默认弱密码远程访问所有客户的POS系统。犯罪分子知道,只要猜测一个第三方提供商的远程访问密码,他们就可以访问其所有客户的系统。这个陷阱使特许经营商成为更有吸引力的目标。
如何克服这些挑战
无论加盟商选择哪种模式,他们都应该确保某些安全最佳实践到位,以最大限度地降低违规风险。他们的安全计划应该从风险评估开始,这样他们就可以确定有价值的数据存在和移动的位置。他们还应该对所有资产进行漏洞扫描,然后对最关键的资产进行渗透测试,以识别和修复安全弱点。这种扫描和测试应该定期进行,特别是如果他们对环境进行了任何更改(例如添加新的POS系统)。然后,加盟商应部署安全技术以保护其所有攻击媒介。这些技术包括可以实时检测和过滤恶意软件的反恶意软件技术、网络访问控制(只有那些需要访问加盟商最有价值数据的人才能访问)、将关键数据从非关键数据中分离出来的web应用程序防火墙以及入侵检测技术等。
他们还应该结合基本的安全最佳实践,例如只使用POS系统进行支付交易,使用复杂的密码或密码访问他们的应用程序、网络和数据库,并确保他们的杀毒软件是最新的,所有软件都打了补丁。
如果他们使用第三方提供商,他们应该在合同中建立提供商必须采取的安全措施,以更好地保护他们的信息。新版本的支付卡行业数据安全标准(PCI DSS 3.0)要求任何存储、处理或传输支付卡数据的企业都必须遵循该标准,该标准还要求提供商使用不同的密码访问每个客户并进行双因素认证,从而有助于加强企业与第三方提供商之间的安全性。
安全技术和服务的有效性取决于管理它们的人员。如果加盟商没有足够的人力和技能来确保其控制装置的安装、微调、监控和始终正常工作,他们应考虑通过与专家合作来增加内部员工。
所有这些步骤都可以帮助加盟商加强他们的安全,防止违规。然而,没有解决安全问题的灵丹妙药。这就是为什么加盟商需要通过创建和测试事件响应准备计划来为违规行为做好准备。如果他们知道如何检测和应对违规行为,他们可以显著地减少损失,并尽快恢复“正常业务”。
相关:从经理到加盟商,移动城市
